現状Android用ウイルス対策ソフトは低い権限で動作--Internet Week 2011レポート

社団法人日本ネットワークインフォメーションセンター（JPNIC）は11月28日から12月2日までの5日間、インターネットの基盤技術の基礎知識や最新動向を議論するイベント「Internet Week 2011 ～とびらの向こうに」を東京で開催している。

研修・セミナー・カンファレンスセミナー・イベント

2011.12.1 Thu 22:07

社団法人日本ネットワークインフォメーションセンター（JPNIC）は11月28日から12月2日までの5日間、インターネットの基盤技術の基礎知識や最新動向を議論するイベント「Internet Week 2011 ～とびらの向こうに」を東京で開催している。

インターネットに関する技術の研究、開発、構築、運用、サービスなどに関わる技術者と研究者を主な対象とし、今年で15回目を迎える。

本稿では、12月1日に開催された「スマートフォンセキュリティ」で講演した、株式会社フォティーンフォティ技術研究所リサーチエンジニア大居司氏による「Android: 設計上の技術的な問題点」をレポートする。

Androidマルウェアは、2009年1月13日にMcAfeeによって初めて発見されたが（CallAccepter、Radiocutter、SilentMutter）、root 化された Android 1.0 が対象であり、端末に対してDoS攻撃を引き起こすだけだった。

しかし翌2010年8月15日、プレミアムSMSを送信することで金銭的利益を目的としたFakePlayer.Aがシマンテックによって発見され、大居氏によれば、サイバー犯罪とAndroidマルウェアが合流した転換点だったという。

同氏は、現在は、本格的な難読化が施されているAndroidマルウェアは確認されておらず、比較的解析が容易だが、root化を行った上で定期的にパッケージ（APK ファイル）をダウンロードし、自動でインストールする「DroidDream」や、外部から DEX ファイル（Dalvik バイトコード）をダウンロードし、クラスローダーという Java の仕組を悪用し動的に実行する「Plankton」など、技術的に急激に進歩しつつあり、root 化を利用するマルウェアや、洗練されたマルウェアが今後問題になっていくと予想した

また、Android用ウイルス対策ソフトの問題点として、アンチウイルスソフトによる正当な干渉まで無効にされてしまう、アプリケーションのサンドボックス化が裏目に出る場合があることにふれ、動的なヒューリスティック検出は難しく、シグニチャに基づいており、保護できるのは限定的であると説明した。

また、Androidでroot化が行われた場合、マルウェアがウイルス対策ソフトより高い権限を獲得することが可能になるため、正当なウイルス対策ソフトの権限を引き上げることが必要であるという。

なお、大居氏は、root化を制限する機能を提供するLSM（Linux Security Modules）を搭載したシャープ製端末のLSMを回避したレポートを、12月14日～15日にアブダビ首長国で開催される国際セキュリティ会議「Black Hat Abu Dhabi 2011」で講演する。